S3バケット暗号化-KMSとAES256
I SSE-S3の場合、バケット(オブジェクト)をAES256で暗号化し、公開します。バケットの内容が表示されます。ただし、これは次のエラーをスローするAWSKMSには当てはまりません。
Requests specifying Server Side Encryption with AWS KMS managed keys require AWS Signature Version 4.
エンドユーザーはどのようにしてAES256暗号化されたオブジェクトを表示できますか?
Amazon S3管理キー(SSE-S3)でサーバー側暗号化を使用する–各オブジェクトは、強力な多要素暗号化を採用した一意のキーで暗号化されます。追加の保護手段として、定期的にローテーションするマスターキーを使用してキー自体を暗号化します。 Amazon S3サーバー側暗号化は、利用可能な最も強力なブロック暗号の1つである256ビットAdvanced Encryption Standard(AES-256)を使用してデータを暗号化します。
これによると、私の理解では、オブジェクトが暗号化されている場合、復号化キーが必要であるか、AWSの世界ではそれを復号化するキーにアクセスする必要があります。 AES256とKMSの違いを説明してください。 (AWSがKMSで提供する主要なポリシーを除く)
SSE-S3またはSSE-KMSのどちらを使用している場合でも、S3のサーバー側暗号化は常にAES256です。
どちらの場合も、S3はキーを使用して透過的にストレージ用にオブジェクトを暗号化し、要求に応じてオブジェクトを復号化します。どちらの場合も、オブジェクトにアクセスするユーザーには、暗号化されたオブジェクトは表示されません。
SSE-S3では、S3がキーを所有および制御するため、アップロードまたはダウンロードのアクセス許可には、オブジェクトにアクセスするために必要なキーにアクセスするためのS3の暗黙のアクセス許可が含まれます。
暗号化のレベルは、SSE-S3とSSE-KMSのどちらを使用する場合でも同じですが、SSE-KMSは、HTTPSや署名バージョン4の必須使用など、オブジェクトへのアクセスに対してより厳しいセキュリティ制約を課します。